개인정보위·KISA, 개인정보 유출 신고 동향 보고서 발간
해킹사고 20건 늘어…SQL 인젝션·크리덴셜 스터핑 등 기법
공공기관은 신고기준 상향으로 신고 건 증가
개인정보보호위원회와 한국인터넷진흥원(KISA)은 2024년 한 해 동안 신고된 개인정보 유출 사고를 분석해 원인별 예방책을 담은 '2024년 개인정보 유출 신고 동향 및 예방 방법' 보고서를 발간했다고 20일 밝혔다.
개인정보보호위원회 로고. |
보고서에 따르면 지난해 접수된 유출 신고 건은 총 307건으로, 전년도인 2023년의 318건과 비슷한 수준을 나타냈다. 유출 원인은 해킹이 56%(171건)로 가장 높은 비중을 차지했다. 그 뒤를 이어 업무과실 30%(91건), 시스템 오류 7%(23건) 등의 비중을 차지했다. 전년도에 151건이었던 해킹 건수는 20건 늘어난 반면, 업무 과실(116건→91건)과 시스템 오류(29건→23건)로 인한 유출 사고는 감소했다.
해킹 사고의 유형으로는 관리자 페이지 비정상 접속(23건), SQL 인젝션(17건), 악성코드(13건), 크리덴셜 스터핑(9건) 순으로 나타났다. 원인이 밝혀지지 않은 사건(87건)도 절반을 차지했다. SQL 인젝션은 데이터를 조회하는 데 쓰이는 SQL 명령어를 악의적으로 조작해 정보를 빼내는 기법이다. 크리덴셜 스터핑은 이미 취득한 계정정보를 활용, 다른 사이트에서도 동일하게 로그인을 시도하는 기법이다.
업무 과실로 인한 유출 유형은 실수에서 비롯한 경우가 많았다. 게시판이나 단체채팅방 등에 개인정보 파일을 게시한 경우가 27건을 차지했고, 이메일을 여러 사람에게 동시에 발송한 경우(10건), 이메일 및 공문 내 개인정보 파일을 잘못 첨부한 경우(7건) 등으로 나타났다.
기관별로는 공공기관의 유출 신고가 2배 이상 늘었다. 지난해 공공기관의 유출 신고는 34%(104건)로 전년도의 41건보다 크게 늘었다. 개인정보위는 2023년 9월 개정된 개인정보 보호법에 따라 공공기관의 신고 기준이 상향된 영향이라고 설명했다. 개정법에 따르면 공공기관에서 민감·고유식별정보가 1건 이상 유출된 경우 신고해야 한다. 이전에는 유출 규모가 1000명 이상일 경우에만 신고 대상이었다. 실제로 지난해 공공기관 유출 신고 건수 중 68%(71건)가 1000건 미만 유출이었다.
민간기업의 유출 신고는 66%(203건)로, 전년(277건) 대비 줄었다. 기관별로는 중소기업(60%), 해외사업자(12%), 협단체(12%), 중견기업(11%), 대기업(5%) 순으로 나타났다.
개인정보위는 보고서를 통해 크리덴셜 스터핑 공격으로 인한 개인정보 유출을 방지하기 위해서는 개인정보 입력 페이지에 아이디 및 비밀번호를 반복해 대입하는 걸 탐지해 차단하는 보호조치를 마련해야 한다고 강조했다. 웹 방화벽(WAF) 설치로 SQL 인젝션 공격을 차단하는 정책이 필요하다고도 부연했다.
업무 과실로 인한 개인정보 유출을 방지하기 위해서는 게시판·홈페이지에 자료 업로드 시 주민등록번호와 같은 민감 개인정보가 포함됐는지 확인해야 한다. 메일을 보낼 때는 개인별 발송 기능을 기본으로 설정해야 하며, 개인정보가 포함된 업무용 기기에는 비밀번호 설정과 파일 암호화를 설정해야 한다고 개인정보위는 안내했다.
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
